20 Января, 2019

Google Play удаляет вредоносные приложения

Владимир Безмалый

Два приложения в Google Play заражали устройства трояном мобильного банкинга Anubis.

Google Play удалил два вредоносных приложения, которые заражали устройства с помощью печально известного банковского вредоносного ПО, предназначенного для сбора учетных данных жертвы.

Исследователи из Trend Micro в четверг сообщили, что два приложения, конвертер валют и BatterySaverMobo, которые пользователи считали весьма полезными мобильными инструментами, помогающими пользователям узнавать курс валют и оптимизировать время автономной работы мобильных телефонов, на самом деле загружали вредоносные данные — связанные с банковским вредоносным ПО Anubis — на устройства и использовали множество уловок, чтобы избежать обнаружения.

«Пробелы в безопасности мобильных устройств могут привести к серьезным последствиям для многих пользователей, поскольку устройства используются для хранения большого количества информации и подключения к различным учетным записям», — заявил  в докладе  Кевин Сан, аналитик мобильных угроз Trend Micro . «Пользователи должны с осторожностью относиться к любому приложению, которое запрашивает банковские учетные данные, в частности, и быть уверенным, что они законно связаны с их банком».

В целом, исследователи обнаружили, что последняя версия Anubis была распространена в 93 различных странах и предназначена для обработки данных учетной записи пользователей 377 вариантов финансовых приложений.

Вредоносная программа также позволяет злоумышленникам получить доступ к спискам контактов и местоположению устройства; имеет возможность записывать аудио, отправлять SMS-сообщения, совершать звонки и изменять внешнее хранилище. По словам Sun, Anubis может использовать эти разрешения для отправки спам-сообщений контактам, номерам телефонов с устройства и другим злонамеренным действиям.

Приложения

По словам исследователей, эти два приложения хорошо скрывают свои вредоносные возможности. Например, BatterySaverMobo зарегистрировала более 5000 загрузок (большинство из них в Японии), прежде чем была удалена с рынка Google Play, и получила оценку 4,5 от более чем 70 пользователей, что делает ее законной (хотя Sun и утверждают, что часть отзывов, возможно, были не действительными).

После дальнейшего расследования исследователи увидели, что оба приложения связаны с вредоносной программой Anubis — банковским трояном, который был обнаружен в рамках  нескольких предыдущих кампаний Google Play  .

Anubis был замечен в июньской кампании команды IBM X-Force, когда 10 вредоносных загрузчиков замаскировались под различные приложения Google Play, которые извлекали троян мобильного банкинга и запускали его на устройствах Android.

«Анализируя полезную нагрузку, мы отметили, что код поразительно похож на известные образцы Anubis», — сказал Сан. «И мы также увидели, что он подключается к серверу управления и контроля (C & C) с доменом aserogeege.space, который также связан с Anubis».

Как только приложение загружено, вредоносный код начинает работать, а затем обманывает жертв с помощью поддельного обновления системы на своем телефоне. Когда пользователи нажимают это обновление, приложение загружает и устанавливает его полезную APK. Оттуда вредоносная программа использует множество хитрых тактик и техник, чтобы избежать уклонения и в конечном итоге собрать учетные данные жертв.

В то время как многие мобильные трояны запускают фальшивый оверлейный экран, который затем крадет учетные данные, которые вводятся в этот оверлей, Anubis работает немного по-другому.

Вместо этого вредоносная программа использует встроенный кейлоггер, который может украсть учетные данные пользователей, записав, что они вводят. Он также может сделать скриншот экрана зараженного пользователя.

Новые хитрости

Anubis отображает различные методы уклонения, чтобы скрыться от пользователей устройства. Например, после загрузки вредоносная программа пытается использовать данные датчика движения, чтобы скрыть свои действия.

Вредоносное приложение отслеживает действия пользователя по датчику движения устройства — если датчик движения сотового телефона показывает, что он не движется, вредоносный код не будет работать, поскольку отсутствие данных датчика может указывать на то, что устройство работает в песочнице.

«Когда пользователь перемещается, его устройство обычно генерирует некоторое количество данных с датчика движения», — пояснил Сун. «Разработчик вредоносных программ предполагает, что «песочница» для сканирования вредоносных программ является эмулятором без датчиков движения и поэтому не будет создавать данные такого типа. Если это так, разработчик может определить, работает ли приложение в среде «песочницы», просто проверив данные датчика».

Еще одна хитрость, которую разработчики приложений скрывали в своих рукавах, — это замаскировать вредоносный сервер, кодируя его в запросах веб-страниц Telegram и Twitter.

После загрузки банка вредоносная программа-дроппер запрашивает Telegram или Twitter. Затем он регистрируется на сервере C & C и проверяет команды с помощью HTTP-запроса POST. Если сервер отвечает на приложение с помощью команды APK и присоединяет URL-адрес загрузки, то полезная нагрузка Anubis будет отбрасываться в фоновом режиме.

Несмотря на то, что они продолжают появляться, Google Play продолжает отсеивать вредоносные приложения, предоставляющие функции от рекламного ПО до мобильных троянов.

Ранее в этом месяце   Google Play удалил не  менее 85 поддельных приложений с рекламным ПО, замаскированных под игры, приложения для ТВ и симуляторов дистанционного управления. После загрузки поддельные приложения прячутся на устройстве жертвы и продолжают показывать полноэкранное объявление каждые 15 минут.

В прошлом году  Google удалил  22 вредоносных рекламных приложения — от фонариков, регистраторов вызовов до усилителей сигнала WiFi, которые были загружены до 7,5 миллионов раз с рынка Google Play. И  приложение для Android,  попавшее в ловушку с вредоносными программами, было недавно удалено из Google Play в ноябре — после того, как оно было доступно для загрузки в течение почти года.

Оригинал